筆者按?

近日，人工智能國際頂級學(xué)術(shù)會議之一AAAI 2022以線上虛擬會議的形式召開。據(jù)了解，本屆會議收到來自全球的9215篇投稿論文，而接受率僅為15%，創(chuàng)歷史新低。隨著深度神經(jīng)網(wǎng)絡(luò)日益廣泛的應(yīng)用，模型魯棒性和安全性受到越來越多的關(guān)注，對抗機(jī)器學(xué)習(xí)成為AAAI 2022的熱點議題之一。國防科技創(chuàng)新研究院無人系統(tǒng)技術(shù)研究中心智能設(shè)計與魯棒學(xué)習(xí)實驗室（IDRL）的研究成果《FCA: Learning a 3D Full-Coverage Vehicle Camouflage for Multi-View Physical Adversarial Attack》被AAAI 2022收錄，并在紅山等平臺開源。為解決車輛等目標(biāo)在動態(tài)行進(jìn)中帶來的多角度攻擊難、攻擊實時性差、物理不易實現(xiàn)等挑戰(zhàn)，該團(tuán)隊提出了一種基于神經(jīng)可微分渲染器的全身涂裝式對抗紋理迷彩生成框架FCA，能夠貼合車輛表面生成適應(yīng)多角度、部分遮擋、物理易實現(xiàn)的對抗偽裝迷彩，并支持?jǐn)U展多種攻擊目標(biāo)、仿真場景和目標(biāo)檢測模型，在黑盒設(shè)置下對YOLOv5、SSD、Faster RCNN等目標(biāo)檢測模型遷移攻擊取得了世界領(lǐng)先效果。

注：

①論文地址：

https://arxiv.org/abs/2109.07193v3

②項目地址：

https://idrl-lab.github.io/Full-coverage-camouflage-adversarial-attack/

③開源代碼：

https://forge.osredm.com/projects/p58074962/Full-coverage-camouflage-adversarial-attack

https://github.com/idrl-lab/Full-coverage-camouflage-adversarial-attack

④IDRL整理目標(biāo)檢測對抗攻擊與防御論文集

https://github.com/idrl-lab/Adversarial-Attacks-on-Object-Detectors-Paperlist

數(shù)字攻擊效果圖

物理攻擊效果圖

01 研究背景及簡介

近年來，基于深度學(xué)習(xí)的目標(biāo)檢測技術(shù)在自動駕駛、視頻監(jiān)控等領(lǐng)域得到廣泛應(yīng)用，但現(xiàn)有研究表明深度學(xué)習(xí)模型易受到對抗樣本攻擊，導(dǎo)致相關(guān)技術(shù)存在落地風(fēng)險。相比于圖像分類攻擊中只要改變圖像類別，目標(biāo)檢測攻擊要同時考慮降低目標(biāo)物體存在的置信度、目標(biāo)物體的類別以及目標(biāo)物體的位置，因而更具挑戰(zhàn)性。對抗攻擊可以分為數(shù)字空間攻擊和物理世界攻擊兩大類。物理世界攻擊是指對抗樣本可以攻擊物理世界部署的目標(biāo)檢測系統(tǒng)，因此受到更廣泛的關(guān)注。

目標(biāo)檢測系統(tǒng)的物理世界攻擊存在兩大主流方法：（1）對抗補丁攻擊：通過在數(shù)字空間優(yōu)化對抗補丁圖片，然后將優(yōu)化好的對抗補丁圖片打印出來并粘貼在目標(biāo)物體的部分區(qū)域?qū)崿F(xiàn)物理攻擊（如圖1(a)）。雖然補丁攻擊在特定測試環(huán)境（如固定距離固定角度）和特殊目標(biāo)（如路牌）下取得較好的攻擊效果，但是補丁圖片很難模擬車輛等非平面物體實際形變，當(dāng)對抗補丁圖片被遮擋或補丁觀測角度發(fā)生變化時，攻擊會失效。（2）涂裝攻擊：通過改變?nèi)S目標(biāo)物體自身的外觀紋理來攻擊目標(biāo)檢測器?，F(xiàn)有局部涂裝方法（如圖1(b)）著重優(yōu)化物體的部分紋理區(qū)域如車頂、車門等較平坦位置，導(dǎo)致其無法適應(yīng)多角度、部分遮擋等場景，攻擊效果欠佳。現(xiàn)有全身涂裝工作（如圖1(c)）通過優(yōu)化二維紋理圖片，并利用物理渲染器將紋理圖片像馬賽克一樣重復(fù)渲染到物體表面上，雖然能從多角度展示對抗紋理，但其紋理圖案簡單，攻擊性能較差。在現(xiàn)有研究的基礎(chǔ)上，IDRL團(tuán)隊利用神經(jīng)渲染器開展了全身涂裝式對抗紋理攻擊技術(shù)研究，通過直接優(yōu)化三維物體的全身外表面紋理，為多場景、多角度的物理攻擊提供了一種高效的解決方案（如圖1(d)）。

圖1 不同目標(biāo)檢測系統(tǒng)物理攻擊方法效果圖

02 全身涂裝對抗紋理迷彩生成框架

為解決目標(biāo)檢測攻擊中的多角度攻擊難、攻擊實時性差、物理不易實現(xiàn)等挑戰(zhàn)，在3D仿真環(huán)境中針對三維物體的全身外表面進(jìn)行整體紋理優(yōu)化，通過捕捉多角度觀測下的物體紋理使其在多角度和部分遮擋情況下提高攻擊成功率；設(shè)計了多尺度對抗損失，使對抗紋理在不同距離的情況下仍具有攻擊性。為盡可能減少數(shù)字仿真空間和真實物理世界的差異，可在高分辨率開源自動駕駛平臺Carla上采集大量仿真數(shù)據(jù)供訓(xùn)練。實驗表明在黑盒條件下，對抗紋理迷彩的遷移攻擊性能大幅提升。全身涂裝對抗紋理迷彩生成框架流程如圖2所示。

圖2 全身涂裝對抗紋理迷彩生成框架FCA

（1）數(shù)據(jù)準(zhǔn)備

本框架支持常見OBJ格式三維模型文件作為輸入，并提供基礎(chǔ)車輛三維模型供驗證。該部分對應(yīng)于圖2中的Input 3D model。為模擬車輛在物理場景中行駛，采用高分辨率開源自動駕駛平臺Carla作為仿真環(huán)境，提供多種虛擬世界場景，如城市，郊區(qū)等。可根據(jù)任務(wù)需求設(shè)置需采集的數(shù)據(jù)：車輛在仿真環(huán)境中的圖片，圖片采樣時相機(jī)的位置（坐標(biāo)，旋轉(zhuǎn)信息），車輛的位置（坐標(biāo)，旋轉(zhuǎn)信息），如圖3所示。該部分對應(yīng)與圖2 中Training Set。

圖3 場景仿真數(shù)據(jù)采樣設(shè)置

（2）全車身紋理渲染

對抗紋理迷彩涂裝在三維汽車模型上后，需要通過渲染器將其渲染成二維圖片供目標(biāo)檢測器檢測。利用可微分神經(jīng)渲染器, FCA可使用基于梯度的方法對紋理進(jìn)行高效對抗攻擊優(yōu)化。為還原車輛在仿真器中的觀測視角（圖4左圖），可利用采樣數(shù)據(jù)中車輛目標(biāo)和相機(jī)的方位參數(shù)，結(jié)合全身紋理渲染出與采樣時方向位置一致的圖片（圖4中右圖），相當(dāng)于為仿真器中原始車輛在特殊角度披上對抗迷彩外衣。該模塊對應(yīng)于圖2的Rendering部分。

圖4 全身紋理圖片渲染效果

（3）對抗樣本合成

為了提升對抗攻擊效果，還需要將渲染了對抗紋理的偽裝汽車與仿真環(huán)境背景再次合成，生成帶背景的偽裝汽車對抗樣本。FCA框架使用語義分割網(wǎng)絡(luò)從圖4右圖中生成掩碼圖，提取采樣圖的仿真背景圖片，與涂裝汽車相加得到帶背景的偽裝汽車對抗樣本。

圖5 對抗樣本合成

（4）多尺度對抗攻擊損失

根據(jù)上述設(shè)置，對抗紋理的優(yōu)化可定義成如下形式

其中，M表示3D模型的網(wǎng)格，T_adv為對抗紋理，θ_c表示采樣時的目標(biāo)物體和相機(jī)的位置信息，R表示渲染器，θ_f表示目標(biāo)檢測器的參數(shù)，F表示目標(biāo)檢測器，Φ表示背景轉(zhuǎn)換操作, J表示損失函數(shù)，Y表示真實標(biāo)簽。通過最大化上述損失函數(shù)，優(yōu)化得到對抗紋理T*_adv。

為提升對抗樣本的攻擊遷移性，設(shè)計多尺度對抗損失如下

其中，用于衡量對抗紋理圖片預(yù)測邊界框與真實邊界框之間的交并比值(IOU)的損失大小；用于衡量對抗樣本中是否有目標(biāo)物體的概率；是對抗樣本被分類成指定類別（如汽車）的置信度。具體而言，定義如下：

其中bⁱ表示第i個尺度的預(yù)測邊界框, 是真實的邊界框。N表示不同尺度的層數(shù)，YOLO-V3中N為3。使用多尺度IOU損失可以保證對抗紋理圖片始終有一個尺度與目標(biāo)尺寸相匹配，因此經(jīng)過優(yōu)化的對抗紋理可以滿足不同尺度下的攻擊。一般而言，對于一個訓(xùn)練好的目標(biāo)檢測器，計算得到的IOU值很大。因此，通過不斷優(yōu)化對抗紋理來最小化該損失使目標(biāo)不被檢測到。

除了對抗損失外，我們使用平滑損失來使紋理的局部區(qū)域過渡更加自然。

最終，總的損失函數(shù)如下

通過計算上述損失函數(shù)的梯度，并通過利用可微分神經(jīng)渲染器反向傳播來指導(dǎo)3D模型的紋理優(yōu)化。

（5）全車身紋理優(yōu)化

為加快全身紋理優(yōu)化速度，提高優(yōu)化效率，提出了一種空間換時間的方法。具體而言，將利用語義分割網(wǎng)絡(luò)提取背景掩碼的步驟作為數(shù)據(jù)預(yù)處理操作，在訓(xùn)練前完成訓(xùn)練圖片掩碼的提取。因此，在優(yōu)化過程中，不再需要使用語義分割網(wǎng)絡(luò)，只需要加載與訓(xùn)練圖片對應(yīng)的掩碼圖片，從而加快了優(yōu)化速度。詳細(xì)算法流程圖如算法1所示。

03 實驗結(jié)果

3.1數(shù)字世界攻擊

為公平比較，采用了文獻(xiàn)提供的Carla仿真數(shù)據(jù)集。雖然涂裝對抗迷彩是針對YOLO-V3設(shè)計的，但是在測試階段選取四種黑盒檢測器驗證其攻擊性能，即本文所展示的結(jié)果均為黑盒攻擊的結(jié)果。實驗結(jié)果展示了攻擊算法的遷移性。為了與現(xiàn)有工作進(jìn)行比較，下表展示了P@0.5（指檢測器的IOU閾值設(shè)置為0.5時，檢測器檢測到汽車樣本數(shù)占總樣本數(shù)的比）的對比結(jié)果。

從上表中可以看出，FCA相比于現(xiàn)有方法均有較大的提升，這顯示了全身涂裝對抗迷彩框架FCA在數(shù)字空間具有較好的攻擊性能。

3.2 物理世界攻擊

在物理實驗中，由于實驗條件的限制，參考已有文獻(xiàn)方式將對抗性紋理打印并貼到玩具車來模擬真實世界物理攻擊。在不同環(huán)境下，從不同角度和距離拍攝了144張圖片，并使用四種常用的目標(biāo)檢測模型進(jìn)行實驗，實驗結(jié)果如下表所示：

可以看出，提出的全身涂裝迷彩方法在物理世界中仍具有較好的攻擊效果，這證明了生成的涂裝對抗性迷彩具有較好的遷移性和攻擊能力。

3.3 多角度和部分遮擋攻擊效果

?為了驗證FCA在多角度下的攻擊效果，在不同距離下按照360°每間隔3°各采樣了120張圖片，構(gòu)建了規(guī)模為4320張的多角度測試數(shù)據(jù)集。實驗結(jié)果如下表是所示，可以看出，FCA在不同角度下均有較高的攻擊成功率。

為了驗證FCA涂裝了對抗性迷彩被遮擋時的攻擊效果，在試驗中根據(jù)迷彩被遮擋的程度，定義了以下三種遮擋范圍：小部分遮擋（small）,中等遮擋（middle），大部分遮擋（large）。實驗結(jié)果如下表所示，生成的迷彩在不同程度遮擋情況下均能表現(xiàn)出較好的攻擊效果。

3.4 可視化效果

（1）多視角攻擊效果

圖6 多視角攻擊效果圖

為分析對抗性迷彩涂裝使模型做出錯誤預(yù)測的原理，使用模型類激活圖可視化方法（Grad-CAM）分析了ResNet關(guān)注點。分析結(jié)果如下圖所示，可以看出對抗性迷彩使模型的注意力發(fā)生了不同程度的分散，導(dǎo)致目標(biāo)檢測失效。

圖7 攻擊前后模型注意力變化

（2）部分遮擋攻擊效果

圖8是生成的對抗性迷彩偽裝汽車在不同距離、不同遮擋程度下的效果圖?？梢钥闯鯢CA生成的對抗性紋理在復(fù)雜情況下均能攻擊成功。

圖8 部分遮擋攻擊效果

04 結(jié)語

為解決目標(biāo)檢測系統(tǒng)的對抗攻擊與偽裝迷彩設(shè)計，本項目研究了視覺目標(biāo)檢測、對抗樣本生成優(yōu)化、三維視覺建模仿真等關(guān)鍵技術(shù)，重點探索了涂裝式全身對抗迷彩紋理的優(yōu)化方法，同時形成了一套可用于多場景仿真數(shù)據(jù)構(gòu)建、支持多種三維目標(biāo)對抗紋理設(shè)計、支持多種主流目標(biāo)檢測系統(tǒng)、可編輯涂裝區(qū)域的對抗偽裝迷彩優(yōu)化方法以及目標(biāo)檢測系統(tǒng)安全性的評估驗證開源平臺FCA。下一步，將對基于神經(jīng)渲染器的涂裝式對抗迷彩近似建模進(jìn)行改進(jìn)和完善。

IDRL實驗室介紹

國防科技創(chuàng)新研究院無人系統(tǒng)技術(shù)研究中心智能設(shè)計與魯棒優(yōu)化實驗室致力于人工智能與飛行器設(shè)計的基礎(chǔ)前沿和交叉研究，面向飛行器多學(xué)科高效分析與優(yōu)化，發(fā)展了系列數(shù)據(jù)和知識混合驅(qū)動的深度學(xué)習(xí)方法，形成了全自主知識產(chǎn)權(quán)的智能輔助飛行器設(shè)計優(yōu)化云平臺IDaaS（Intelligent Design as a Service）原型系統(tǒng)、集成衛(wèi)星組件熱布局溫度場近實時預(yù)測基準(zhǔn)工具箱STEP（Satellite Temperature fiEld Prediction of heat source layout）、內(nèi)嵌物理知識神經(jīng)網(wǎng)絡(luò)算法框架IDRLNet等前沿研究成果。近3年團(tuán)隊發(fā)表相關(guān)學(xué)術(shù)論文80余篇，其中高影響因子SCI檢索70篇，授權(quán)專利17項。

實驗室招收計算機(jī)科學(xué)與技術(shù)、航空宇航科學(xué)與技術(shù)、力學(xué)等專業(yè)碩士生、博士生，研究方向包括機(jī)器學(xué)習(xí)輔助多學(xué)科建模分析、復(fù)雜系統(tǒng)生成設(shè)計與多學(xué)科優(yōu)化、不確定性分析與魯棒優(yōu)化、智能輔助結(jié)構(gòu)拓?fù)鋬?yōu)化、對抗機(jī)器學(xué)習(xí)、數(shù)字孿生、知識工程等，并與國防科技大學(xué)、北京大學(xué)、浙江大學(xué)、上海交通大學(xué)、電子科大、北京航空航天大學(xué)、中山大學(xué)、西北工業(yè)大學(xué)等高校有聯(lián)合培養(yǎng)博士指標(biāo)，歡迎有意同學(xué)聯(lián)系報考，聯(lián)系方式：idrl_hr@163.com。

團(tuán)隊相關(guān)成果

[1] Wang, D., Jiang, T., Sun, J., Zhou, W., Zhang, X., Gong, Z., Yao, W., Chen X., FCA: Learning a 3D Full-Coverage Vehicle Camouflage for Multi-View Physical Adversarial Attack[C], Thirty-Sixth AAAI Conference on Artificial Intelligence, 2022.

[2] Li, C., Wang, H., Zhang, J., Yao, W., Jiang, T., An Approximated Gradient Sign Method Using Differential Evolution For Black-box Adversarial Attack[J], IEEE Transactions on Evolutionary Computation, 2022.

[3] Chen, X., Zhao, X., Gong, Z., Zhang, J., Zhou, W., Chen, X., Yao, W., A Deep Neural Network Surrogate Modeling Benchmark for Temperature Field Prediction of Heat Source Layout[J], Science China Physics, Mechanics & Astronomy, 2021,64(11):1-30.

[4] Peng, W., Zhang, J., Zhou, W., Zhao, X., Yao, W., Chen, X., IDRLnet: A Physics-Informed Neural Network Library, IDRLnet: A Physics-Informed Neural Network Library[C], The 7th International Workshop on Advanced Computational Intell igence and Intelligent Informatics (IWACIII2021), Beijing, China.

[5] Zhang, Z., Li, Y., Zhou, W., Chen, X., Yao, W., Zhao, Y., TONR: An Exploration For A Novel Way Combining Neural Network With Topology Optimization[J], Computer Methods in Applied Mechanics and Engineering, 2021,386:114083.

[6] Chen, X., Chen, X., Zhou, W., Zhang, J., Yao, W., The Heat Source Layout Optimization Using? Deep Learning? Surrogate Modeling[J], Structural and Multidisciplinary Optimization, 2020,62(6):3127-3148.

[7] Wang, N., Pedrycz, W., Yao, W., Chen, X., Zhao, Y., Disjunctive Fuzzy Neural Networks: A New Splitting-Based Approach to Designing a T–S Fuzzy Model[J], IEEE Transactions on Fuzzy Systems, 2022,30(2):370-381.

總結(jié)

以上是生活随笔為你收集整理的AAAI 2022 | 全身涂装式对抗纹理迷彩生成框架FCA的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。